-各国关于数据与个人隐私的法律规定.doc

国家 时间 法律 原则 特点 经济与发展合作组织 1980 《OECD指南》 ··········应在特定的目的下收集所需要的信息，在不迟于数据收集时间明示用户，且在随后的使用中遵循这一目的 ············明确规定了数据安全保护的准则，即应该采取相关安全措施对个人数据进行保护，防止丢失、破坏及未经授权的更改等风险 ··强调特定目的和目的的一致性 ·侧重于防止数据丢失及未经授权的更改 欧盟 1981 《个人信息自动处理中的个人保护公约》 公平信息实务法则 凸显了欧洲对隐私权的保护 1995 《欧盟1995年指令》 ·数据控制者应对数据进行公平、合法的处理；并应明示数据收集的目的且该目的必须是合法的，在之后的使用过程中也应遵循这一目的 ·所收集的信息是准确的并且应得到及时的更新。数据控制者应采取必要的措施以确保数据的更正和删除。在数据不准确、不完整的情况下，数据主体可以限制数据控制者使用其数据，数据控制者如果已将这些数据向第三方披露，还必须通知第三方 强调目的的合法性与一致性 ·保障个人数据的准确、及时、可核实、可修改、可删除、可拒绝，并将变更事宜通知第三方 2002 《电子通信指令》 电信公司必须采取组织措施保证用户数据的安全性，如果出现了意外的风险应立即通知与风险有关的用户，努力将损失降到最低 强调立即通知与风险有关的用户 2015 《一般数据保护条例》 一旦发生数据泄漏事故，公司应该立即向国家机关机构报告，并且应马上评估事故影响的范围及事故的原因，及时通知与事故有关的可能收到影响的用户，使用户能够及时采取相关措施挽回影响。随着云服务的发展，对数据的监管不光针对数据控制方，也应扩大到第三方数据处理方 强调立即向国家机关机构报告并且及时评估事故的影响范围 2016 《一般数据保护条例（GDPR）》 ·数据控制者应合法、公平和透明地处理数据当事人的个人数据。在收集个人数据时是为了明确且合法的目的，在之后对数据的进一步处理中要与最初的目的相符合。在数据处理中要遵循“数据最小化”原则，所处理的数据是适当的、相关的并且限于与目的有关的 ·在收集数据主体的个人数据时，需向数据主体披露以下信息：管制员的身份及联络资料、在适用情况下的管理人的身份及联络资料、管理者的代表；数据保护主任的详细联络资料、个人数据意图处理的目的以及加工的法律依据、个人数据的收件人或类别（如有的话） ·数据控制者应采取合理的措施保证数据的准确性并在必要时保持更新，数据主体可以要求纠正或删除正在被处理的数据 ·强调目的的合法性与一致性，且需遵循“数据最小化”原则 ·告知数据管理员的相关信息 ·保证个人数据的准确、更新、修正与删除 2018 《一般数据保护条例》 ·在数据的使用过程中采用有效的技术及组织措施保障数据的安全性，避免数据遭到损坏及非法处理 ·数据控制者应该提供将数据传送给第三国的事实，以及数据管理者是否针对此问题做出充分决议。将个人数据转移给第三国或第三方处理者时，要明确其是否能够遵守本条例，是否能够保证数据主体的相关权利的执行 ····数据控制者在处理个人数据时应遵循GDPR的个人数据处理原则，并应该对是否遵循原则提供相应的证明。同时，该法律还规定，数据控制者在处理数据时应保持相应的记录。以数据控制者的名义处理数据的数据处理者，也应当保存一份记录 ·如果发生个人数据安全事故，数据控制者应在72小时内报告相关监管机构。报告的内容主要包括：相关个人数据的种类及数量、描述事故的可能情况、数据控制者将要采取的措施 ·侧重于防止数据被非法处理 ·第三国 ·数据控制者与相关的数据处理者 ·强调及时向监管机构报告，并且明确时间限制，并规定了报告的具体内容 亚太经合组织 2004 《亚太经合组织隐私权法则》 公平信息实务法则 日本 2003 《个人信息保护法》 ·数据控制者在处理个人信息时，要严格遵循使用目的。如需变更这一目的，则它不应该超出合理可以接受的范围。处理个人数据的单位，未经本人同意，不得超出使用目的的范围。 ·处理个人数据的单位不得泄露，破坏或者损坏所处理的个人数据，并且应采取必要和适当的措施对个人数据进行安全管理 ·处理个人数据的单位应当在达到使用目的所需范围内，保持数据准确和最新，当不再需要使用它时，必须努力消除这些个人数据 ·如发生泄漏事故，采取必要的补救措施。包括：在经营者内部通报事故，防止危害的进一步扩大；调查事实，并确定其影响的范围；研究预防此类事件的有效措施，并与受到危害的人联系 ·强调使用数据目的应在合理的范围内 ·侧重于防止数据泄露、破坏 ·保证数据的准确性、及时性、可删除 ·强调及时通报事故并着重研究预防此类事件的有效措施 中国 2012 《全国人大常委会关于加强网络信息保护的决定》 ·企业在经营活动中收集用户的个人数据，必须遵循相关的法律法规，不得违背与用户的约定 ·企业在收集、使用个人数据时应当明示收集数据的目的与范围，同时征得用户的同意 ·数据收集者及其他企业或组织应采取必要的技术和有效的措施保障数据安全，如发生了数据损毁、泄露等事故，应马上采取相应的补救措施 ·强调应遵循与用户的约定 ·告知使用目的、范围且取得同意 ·强调保障数据安全，如发生安全事故马上采取补救措施 2013 《电信和互联网用户个人信息保护规定》 ·互联网服务经营者在收集、使用数据的过程中，应遵循合法、最少够用的原则 ·电信业务经营者、互联网信息服务提供者委托他人代理市场销售和技术服务等直接面向用户的服务性工作，涉及收集、使用用户个人信息的，应当对代理人的用户个人信息保护工作进行监督和管理，不得委托不符合本规定有关用户个人信息保护要求的代理人代办相关服务 强调合法、最少够用的原则 ·第三方代理人 《信息安全技术公共及商用服务信息系统个人信息保护指南》 ·在收集数据前要向用户明确告知以下事项：收集数据的方式与具体内容，收集数据的范围包括可能向第三方机构披露其数据的范围；个人数据管理者的名称、联系方式等基本信息；用户提供个人数据的风险及不提供个人数据的后果；如需将数据披露给第三方应告知第三方的相关信息 ·采用适当、必要的管理措施保障个人数据的安全，防止数据的不正当利用、遭到故意或意外的损毁以及个人数据被篡改 ·如用户发现自己的数据存在缺陷或错误，数据控制者应及时查验核对并进行修改和补充。同时还规定了在数据处理过程中保证数据的完整性、保密性，且使其处于可用状态 ·当数据主体要求删除其个人数据、收集数据的目的已经达到、超出告知用户的数据储存期限、个人数据控制者解散时，应及时删除用户的个人数据 ·企业或组织向第三方机构转移个人数据时，要对第三方机构处理个人数据的能力进行评估，并以合同的形式明确其对数据的保护责任 ·告知事项较为全面，范围比较广 ·侧重于防止数据被不正当利用、意外损毁及篡改 ·保证个人数据的可用、可查询、可修改 ·保证在特定情况下及时删除相关数据 ·第三方机构 2015 《刑法修正案（九）》 违反国家有关规定，向他人出售或者提供公民个人信息，情节严重的，处三年以下有期徒刑或者拘役，并处或者单处罚金；情节特别严重的，处三年以上七年以下有期徒刑，并处罚金。违反国家有关规定，将在履行职责或者提供服务过程中获得的公民个人信息，出售或者提供给他人的，依照前款的规定从重处罚 所有违反国家规定违法使用公民个人信息的人 2004 《加州在线隐私保护法案》 要求网站披露/在隐私政策中明示正在收集的数据与正在和谁分享数据 告知收集与分享对象 2013 2013年美国对该法案进行了修订 要求网络运营商披露对在线访问者的追踪 告知使用目的、范围 美国 2015 《消费者隐私权利法案》 ·企业应明确收集数据的范围，所收集的数据应为了特定的目的，且在随后的数据使用中应该与用户所预期的相符。如果不相符，要以用户能清楚知道的方式通知用户，以使其能够快速的做出反应 ·企业应明确说明所收集数据的种类、收集数据的原因及用途，并说明是否将与第三方进行数据共享 ·企业应当根据实际情况，评估数据安全风险，采取合理有效的措施预防可能发生的安全风险，如数据损坏、非法访问等 ·当个人数据出现错误时，如涉及用户的敏感性数据并将对用户产生负面影响，则用户有权修改以可用格式储存的数据。企业应确保使用的是正确的个人数据。当个人数据使用完毕后应删除相关数据，或删除数据中有关的身份信息 ·企业应该对第三方企业进行调查，调查其使用用户数据的目的、方式、范围等，以及是否赋予用户相应的数据权利 ·企业应该为员工提供定期的培训以确保员工在合法合规的情况下使用数据，并据此对员工进行绩效评估。企业应当进行全面的数据使用内部控制监督，确保每一环节的数据使用都是合理的。问责制下，企业不仅要对内部进行控制和问责，还应该对用户和相关行政机构承担相应的外部责任（如保障数据安全、协助调查等） ·当数据安全事故发生时，通过邮寄地址、电话、电邮等方式通知用户，须通报的内容包括：事故发生的日期、未经授权的人已获数据的类别描述、为保护数据遭到进一步破坏所采取的措施 ·强调使用目的与使用范围的一致性 ·告知收集原则、范围、原因、用途 ·侧重于评估数据安全风险，防止数据被损坏 ·保证个人数据的准确、可用性、可修改、可删除 ·第三方企业 ·对企业内部人员的问责以及对用户及相关行政机构的负责 ·具体内容 英国 1998 《数据保护法》 应主动联系数据所有人并说明数据控制人人在处理个人数据方面的现行做法或意图 主动告知使用目的 加拿大 2000 《个人信息保护和电子文件法》 一个组织负责管理或保管个人数据,包括已转交给第三方进行处理的数据。当数据由第三方处理时,组织应使用合同或其他方式提供相当程度的保护 第三方数据处理方 1、 刑法第253条 2、 3、 4、 5、 6、 《银监法》 7、 8、 《民法总则》117、127条